ハッカー集団「アノニマス」の脅威
2011年07月25日 公開 2023年01月05日 更新
2011年4月、ソニーグループのオンラインサービスのシステムが不正アクセスを受け、約1億人分のアカウントの個人情報が流出した。他のソニー子会社においても、不正アクセス等により相当数の個人情報や経済的被害が続いている。
本稿では、このソニー情報流出の経緯と考えられる要因、いま話題にのぼっている「アノニマス(Anonymous)」と最近のサイバー脅威に対して、日本企業が取るべき行動について考える。
※本稿は、『Voice』 2011年8月号より一部抜粋・編集したものです。
なぜソニーは攻撃を受けたのか
今回のソニー情報流出に至った要因を理解するには、昨年(2010年)からのPlayStation3の不正利用ユーザーとソニーのあいだの確執に着目する必要がある。
2010年1月、以前にiPhoneのアンロック(一般ユーザーが制御不能なものを可能にする不正行為)に成功していた米国ハッカーが「PlayStation3の全システムの記憶領域の読み書きアクセスができた」とブログで公表した。
他のゲーム機では、すでに不正コピーが出回っていたが、PlayStation3は、少なくとも3年間はそのような不正行為がみられず、セキュリティの強固なマシンとして評価が高かった。
2010年4月、ソニーはPlayStation3のアップデートにおいて、“他のOS(基本ソフト)”をインストールする機能を廃止した。ソニーはその目的を「脆弱性に対応し、PlayStation3コンテンツの著作権を保護するため」としながらも、このアップデートの導入を任意とした。
しかし、実際にアップデートしなければPlayStation Networkというオンラインサービスの利用や、新しいバージョンに対応したゲームやBD(ブルーレイディスク)の再生等を不可能にしたため、“他のOS”を導入しているユーザーは(ユーザーにとって都合のよい)OSを手放すか、PlayStation 3としての機能を諦めるかを選ばなければならない状況となった。
これに対し、一部のハッカーが、反対表明をするとともに、アップデートされた機能と同じ機能をもつ非公式ソフトウェアを開発し、“他のOS”のインストールを可能にした。また一部のユーザーは、“他のOS”を無効にしたソニーに対して、訴訟を起こした。
2011年1月、米国ハッカーが、PlayStation3上で任意のソフトウェアを動作可能にするプログラムを公開した。これは、ソニーにとって、そうとうの脅威となり、鉄壁のセキュリティといわれてきたPlayStation3の壁が打ち砕かれた格好となった。
これに対しソニーは、PlayStation3のハッカーグループに対して一斉に訴訟を起こした。その訴訟内容は、これ以上、不正プログラムを流出させないことと、ハッカーによるPlayStation3の解析データを引き渡すように求めたものであった。
ソニーは、これまでに、PlayStation3のハッキング(侵害行為)に対してほとんど反応せず、事実上の野放し状態にしていたが、その訴訟により、いきなり強固な姿勢をとりはじめたことについて、ゲームユーザーから疑問や反発の声が上がった。
ハッカー側はWebサイト上で、「われわれの唯一のゴールは、つねに“他のOS”のインストール機能を取り戻すことで、ビデオゲームの違法コピーを認めたり、サポートしたり、許可したり、推奨することは決してない」との声明を発表した。
2011年2月、ソニーは、不正ソフトウェアの使用に関する警告を発表し、不正が判明すれば直ちに、PlayStation Networkの接続停止、オンラインプレイの不能化、そしてアカウントの強制削除がされることを示唆した。
この時期に、PlayStation Networkに対する通信内容の解析が行なわれ、PlayStation3からプライバシーに関する情報がソニーに送信され、オンライン上に保存されていることが暴露された。
また同時期ドイツでは、PlayStation3のハッカーがドイツ警察による家宅捜索を受け、証拠品としてPlayStation3が押収され、これに反感を覚えたハッカーが、複数のWebサイトでバックアップデータをばらまくなどの挑発的な活動を続けた。これに対してソニー側は、そのデータの流出に協力したWebサイトの管理者に対しても法的な警告を実施した。
2011年3月、米国の裁判所はソニーからの「2009年1月以降、PlayStation3のハッキングを繰り返していた米国ハッカーのWebサイトを閲覧した端末のIPアドレス等の情報をプロバイダーから提出させる」という要請を承認した。
ソニー側は、この件を「司法上の発見を行なうための限定的なもの」と説明したが、多くの専門家は、無差別なプライバシー侵害につながると非難した。
2011年4月、ハッカー集団であるアノニマスは、それまでのソニーによるハッカーへの過剰な取り組みに対する報復として、ソニーへのサイバー攻撃を行なうことを表明し、支持を呼びかけた。
その声明のなかで、ハッカーが自分で購入したゲーム機をハッキングするのは当然の権利であり、またソニーがネットの検閲をするなど許せない、自由に対する挑戦であり、われわれには彼らと断固闘う義務があるなどと述べた。その結果、PlayStation関連の複数のサイトが断続的にダウンした。
ソニーはこれらのDDoS攻撃(分散型サービス不能攻撃:不特定多数のパソコンから一斉にデータを送りつけてパンクさせ、特定のWebサイトのサービスを不能にする攻撃)への対処として、アノニマスからのDDoS攻撃対処に定評のある企業に支援を依頼し、適切な対処をすることができた。
これによりDDoS攻撃が不成功になったと感じたアノニマスは、徐々にフラストレーションを募らせていった。その結果、アノニマスは攻撃方法を変更し、ソニー経営層の家族を含む個人情報を収集して公開し、ソニー経営層に対する圧力を狙った。
一部は、ソニー社員の自宅への不審電話や、ピザを配達させるなどの嫌がらせ行為にまで及んだ。さらに、Facebookを通じて呼びかけを行ない、ソニー関連の店舗における座り込みなどの抗議活動を行なった。
その後、ソニーのネットワークへの侵害と大規模な個人情報の流出が発生した。しかし、アノニマスは、何度もその関与を全面否定した。